Nul
En NASA web app lækket detaljer som medarbejder brugernavne, navne, e-mailadresser og navne projekt, ZDNet har lært i dag, fra bug hunter Avinash Jain.
Eksponeringen stammer fra en af NASA ‘ s Jira anlæg, en web-app er, at de fleste virksomheder bruger til at spore projekter eller interne fejl og problemer.
I en rapport med detaljer om hans fund er offentliggjort i dag, og deles med ZDNet, Jain sagde, at årsagen til lækagen var Jira ‘ s synlighed, kontrol, hvor en NASA-system admin ser ud til at have blandet op.
Problemstillingen er velkendt, og er relateret til Jira ‘ s brug af ordene “Alle” og “Alle brugere” for at vælge bruger adgangsrettigheder. I fortiden, har der været mange Jira administratorer, der har blandet de to begreber ved et uheld at vælge “Alle”, når du indstiller synligheden af forskellige Jira sektioner. “Alle” tilladelse giver adgang for alle på internettet til projektet tracker ‘ s data, og ikke alle i en organisation, som nogle Jira admins måske tror.
Dette er, hvad der synes at være sket med denne særlige NASA Jira installation så godt. Jain siger, at forskellige dele af denne app blev udsat online og tilgængelig for alle.
Mens udsat data, der ikke indeholder meget detaljerede personligt identificerbare oplysninger (PII), en angriber kunne have brugt de lækkede data til at forfine og målretning af spyd-phishing-e-mails, til targetgo efter medarbejdere, der arbejder på følsomme projekter af spoofing af e-mails for kendte kolleger.
Billede: Avinash Jain
Jain siger han meddelte NASA og US-CERT af lækage på September 3, men den utætte Jira eksempel var kun fast den September 25, mere end tre uger senere.
“De synes ikke at have et dedikeret team, der arbejder på ansvarlig offentliggørelse,” Jain fortalte ZDNet i dag. Forskeren siger, at NASA aldrig svarede, at hans e-mails, de ikke anmelde ham, når de faste utæt server, heller ikke de gider at takke ham for hans betænkning, selv om han fik en tak fra OS-CERT team.
Dette var Jain er første gang rapportering af sikkerhedsproblemer til NASA, men agenturets stilhed var ikke en overraskelse, at andre forskere, der har rapporteret om lignende døde-wall oplevelser, når de afslører sikkerhedsspørgsmål til NASA, ZDNet forstår.
Det lover ikke godt for agenturet, hvilket er mindre end en måned siden bemyndigede medarbejdere, der af et større brud på sikkerheden i løbet af ubudne gæster, som stiller til start med de personlige data, tidligere og nuværende medarbejdere.
En NASA-talsmand, var ikke tilgængelig for en kommentar. Men de to sikkerhedshændelser synes ikke at være relateret.
De brud, som NASA informeret medarbejderne om i sidste måned også udsat Social Security-numre. Denne type information var ikke tilgængelig på Jira-server, der Jain opdagede, der var en ren bug tracker til andre NASA apps og projekter.
Mere data, brud dækning:
Real-tid, sted data for over 11.000 Indiske busser venstre udsat online’Town af Salem’ spil lider data, brud udsætte 7.6 millioner bruger detailsData af 2,4 millioner Blur password manager brugere venstre udsat onlineMarriott siger mindre end 383 millioner gæster påvirket af misligholdelse, ikke 500 millioner
Cv ‘ er, der indeholder følsomme oplysninger over 202 millioner Kinesiske brugere venstre udsat onlineHacker stjæler 10 år værd af data fra San Diego school districtFirefox advarer, hvis det website, du besøger, har lidt et data, brud CNET
Marriott afslører brud på datasikkerheden, som påvirker 500 millioner hotellets gæster TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0